Le Conseil de l'Union européenne et le Parlement européen sont parvenus à un accord provisoire en ce qui concerne le règlement DORA, sur la résilience opérationnelle numérique pour les entités financières. Ce texte doit permettre de renforcer la sécurité informatique des entreprises concernées, en cas de perturbation opérationnelle grave.

L'Union veut plus de sécurité pour les entités financières

Le 11 mai 2022, le Conseil de l'Union européenne a publié un communiqué de presse pour faire savoir que cet accord était une belle avancée pour les entités financières. Les membres du Conseil précisent que, compte tenu des risques toujours plus importants de cyberattaques, l'Union européenne « renforce la sécurité informatique des entités financières telles que les banques, les compagnies d'assurance et les entreprises d'investissement ».

Selon le communiqué de presse, le règlement DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entreprises et des organisations actives dans le secteur financier. Il permet l'instauration d'un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel toutes les entreprises doivent veiller à pouvoir résister à tous les types de perturbations et de menaces liées aux nouvelles menaces.

Le texte sera intégré à la législation de chaque État membre

Cet accord provisoire entre le Conseil de l'Union européenne et le Parlement européen constitue un cadre solide qui permettra de stimuler la cybersécurité auprès des entités financières, particulièrement sujettes aux attaques. Début 2020, la Bourse de Londres avait par exemple été victime d'une cyberattaque. Plus récemment, en 2021, c'est la Banque centrale de Nouvelle-Zélande qui avait été prise pour cible par des hackers. En janvier de l'année dernière, le Gouverneur de la Banque centrale avait reconnu que son établissement avait été piraté.

Selon l'accord provisoire, presque toutes les entités financières seront soumises à la nouvelle réglementation. Même les prestataires critiques établis dans un pays tiers, qui fournissent des services informatiques aux entités financières dans l'Union, seront tenus d'établir une filiale européenne, « afin que la supervision puisse être correctement mise en œuvre ». L'accord prévoit également des tests de pénétration seront effectués régulièrement.

Le communiqué de presse précise qu'une fois que la proposition de règlement aura été formellement adoptée, elle sera intégrée à la législation de chaque État membre de l'Union européenne. Ensuite, il reviendra aux autorités européennes compétentes, à savoir l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP), d'établir des normes techniques pour les entités financières.